2018年10月25日 星期四

不可思議的「銀行戶口」盜竊案


報載,兩名女子因應徵工作提供身份證及銀行戶口號碼,被騙徒利用刁鑽手法從銀行戶口中盜取金錢,涉及的還包括網上銀行保安做得甚嚴的大銀行如恆生等,令筆者大感奇怪,遂一探究竟。



今次騙徒利用之作為工具的是移動錢包的一種:「香港支付寶」,之前因為它有推廣優惠,我就乘機登記使用。而通常在消費付款時,比較上算的做法,都是綁定信用卡作為付款之用,這樣的話,除了獲得支付寶自己的優惠,也會同時累積信用卡積分。所以我是從來沒有使用「從銀行帳戶增值」這個功能。從支付寶現時暫停了這個功能來看,應該是這處出了問題:




在我綁定要扣款信用卡時,例必收到手機短訊去輸入一次性密碼去確認,而我一向有使用的恆生銀行,對於網上要轉帳往第三方戶口,從來都十分小心,是需要親身到分行填表登記該戶口才可以的,即使有人破解了網上銀行密碼登入戶口亦不可以隨意轉錢去別處。所以,我初時難以明白,騙徒在沒有事主手機或網上銀行密碼在手的情況下,為何可以通過驗證去綁定事主的銀行戶口?



對於沒有使用支付寶的朋友,以下幾個關鍵之處是需要明白:



1.      簡單地使用支付寶香港的話,是可以單以手機號碼登記,但這樣的話騙徒就不能使用那些有漏洞的功能。所以需要升級為已認證的用戶,而辦法就是上傳一張身份證副本。如果事主一早已有個已認證身份的支付寶戶口,騙徒當然不能得逞,而漏洞就是:如果這身份證從未認證過支付寶戶口,那麼騙徒用任何一個第三者的手機號碼,假冒用事主的身份證首次去認證,支付寶就會無條件接受!騙徒獲得的身份證副本就是作這用途。

2.      即使如此,要綁定信用卡用作支付的話,應該也會收到手機短訊去輸入密碼確認。要綁定銀行戶口的話,支付寶原本的方法,是要人登入自己的網上銀行做手續,這個步驟騙徒是無法做到。

3.      不過,在開通了「轉數快」這服務之後,支付寶容許戶主由支付寶介面中向銀行提出「直接付款授權」,騙徒便可以在事主不知情的情況下做這個步驟,而漏洞就是:由於銀行得到支付寶戶口確認該戶口是屬於事主(支付寶卻只是靠身份證副本確認),亦即不是「第三方」,所以銀行便通過了「付款授權」的要求,而且,至少是涉事的恆生或中銀,並沒有以短訊立即知會事主!



由這兩個漏洞,騙徒便可以在事主不知情的情況下拿走戶口的金錢。留意,若沒有「轉數快」的開通,是應該沒有這種盜取金錢的手法。過程中,我認為支付寶只得到身份證副本就給予認證是責無旁貸,必須改正。「老千計狀元才」,在930日開通轉數快後短短廿日,騙徒竟然能快速找出這兩個漏洞配合使用,並且為此做足了招聘、收集個人私隱、試開支付寶、試提出付款授權的行動,腦筋其實非常高超,如果用於正途,何愁賺不到有意義的金錢呢?



由於筆者早點嘗試使用,反而避免了被人冒開支付寶戶口的危險,這是否在警惕我們,即使我們如何拒絕接受新金融工具,最終我們也難逃它的影響?


5 則留言:

  1. 冇錢又煩,有錢又煩 😅

    回覆刪除
  2. 有錢變成無是痛苦好多咁?

    回覆刪除
  3. 用信用卡付款,而且過數都係有戶口記錄,不是很安全嗎?

    回覆刪除
    回覆
    1. 意思是一早登記了綁定信用卡? 這並不是重點, 以這案件來說, 即使事主有支付寶並綁定信用卡, 只要事主沒有自己做過認證, 騙徒仍然可以代事主去認證另一個支付寶戶口, 並綁定你的另一個戶口, 騙徒根本不會動用你的信用卡, 所以你的信用卡記錄不會有異樣.

      重點其實是: 你有沒有搶先自己提交認證.

      刪除
  4. 我記得自己身分證一早認證左

    回覆刪除